如果你想开辟一方无线的净土,就要利用好最新的安全工具,时刻让你的用户获得无线局域网的安全状况信息。
在Sunnybrook医疗科学中心,信息技术主管 Oliver Tsai 都能看到这样一幕幕场景:刚入学的医科新生们个个都携带着最新潮的配备无线模块(Wi-Fi)的手提电脑,然而这些崭新的电脑却无法接入Sunnybrook的无线网络系统,在这样的情况面前,孩子们百思不得其解。
同样的情景也发生在中心的医生、业务经理和其他人身上,这些专业人士的电脑上装有自动探测电视广播信号并从无线局域网(WLAN)接收信号的新配件。Tsai是这家位于多伦多的理论医疗科学中心的信息技术总管,他说:“他们可以看到哪些功能被提供,但由于安全问题,只有在设备被适当安装之后他们才能访问中心的网络系统。”这种可远观而不能近玩焉的境遇使用户感到非常郁闷,但Tsai说,如果这只是一种暂时现象的话,无线网络使用所包含受挫感是必要的。
当今配有黑莓手机(blackberry,无线电子邮件接收器)的工作人士们,不管是医科学生、CEO还是办公室一族,都纷纷大声疾呼,希望在工作时能享受一个更为理想的无线接入服务环境。毫无疑问他们觉得,既然公司为他们提供了内置无线网卡的手提电脑,自己在使用网络时就没有理由再被束缚在办公桌上。
无线是否已经让你畏缩?
我们需要大致了解一下一些领先的无线局域网产品制造商的情况,以及他们的加密术、认证和入侵监测产品。
现在的情况是,信息技术管理人员依然对无线局域网持怀疑态度。原因在于无线网络存在着被广泛认识到的诸多安全梦魇,比如说拒绝服务攻击和网络系统漏洞等等。Nick Selby是一位来自451集团的企业安全分析师(The 451 Group一家关注IT创新的信息技术产业分析公司),他说:“他们被恐惧压倒了。”而Forrester Research(全球两大研究公司之一,鉴别和分析科技趋势和其对经济的影响)2005年12月的一份报告也证实了Selby的说法:不论何种产业,安全问题是探索无线技术道路上最大的绊脚石。
但是有些恐惧是基于往事记忆的。Selby说:“在早期,该项技术的采纳方被安全难题给吓倒了,而如今大部分安全难题已得到解决。”现在,新的认证和加密协议(例如用户接入为802.1x,先进加密标准为802.11i)提供的安全保障更加有力。同时,无线产品销售者还提供入侵探测产品和整体架构方案,使企业无线网络能像有线网络一样安全可靠。
Selby紧接着说:“要明白,你为安全而付诸实践的大部分工作努力都应该来自销售方。问题在于要激发他们的热情和积极性。” Gartner(科技市场研究公司)就声称,无线局域网是眼下众多安全因素中最被过分夸大的IT安全威胁之一。
因此,为了2006年及其更遥远的将来,现在有五个无线安全法则可以信赖,它们将会帮助CIO和用户最有效地利用无线局域网,而不用担心会有噩梦降临。
着手计划
要追溯问题出现的最初原因:你为什么需要一个无线局域网?谁人将怀着什么目的去使用它?必要的内部与外部安全装置是什么?尽早考虑这些问题,CIO可以决定他们的无线局域网需要达到的安全程度。
Bill Tomcsanyi是托兰斯纪念医学中心(Torrance Memorial Medical Center)的信息主管,他去年的原始计划初衷真的是以急救科为起点搭建一个无线网络吗?当他把更多的目光投向此时彼时的安全装置的时候,当他关注他的临床医生和管理人员所能实现的效率和安装网络的相对低价等因素的时候,他就越发想到要使网络覆盖整个医院和校内的其他建筑。他的确把这个想法付诸了实践。Tomcsanyi说:“无线绝对是我们五年信息科技计划一个不可或缺的组成部分。最后我们将为患者提供更为快捷的治疗,同时消除所有可能的潜在错误。”
一旦CIO知道自己要的是什么,随之而来的挑战就是量化基础设施投资和预期收益。但不要期望会给出什么硬指标。调研机构Current Analysis的一位研究主管Joel Conover说:“我们没有能力来衡量为什么这些网络值得投资。” (Current Analysis是一家竞争响应解决方案提供商,它为高速发展的企业市场领域提供快速的、战略性的和有实际指导作用的智能解决方案。)与此相反,收益是一个最为突出的软指标,包括了生产力和生产效率的提高等内容。用户可以在无线网络覆盖区内去任何有无线接入点(AP)的地方(会议室、户外院子和自助餐厅)接入网络。有时甚至在没有硬性的投资回报指标(ROI--return on investment)的情况下,一些CIO仍然能找到无线局域网所具备的足够的价值。Steve McDonald是Optimus Solutions(一家拥有920万美元资产的综合软件硬件并进行转售业务的公司)的IT副总裁,他说:“(我们的用户)可以与Lotus Notes(美国Lotus公司出品的著名群体系列软件)以及CRM和ERP集成软件时刻保持通信。而且能做到改动简单明了,接入连贯一致。” McDonald已将25,000平方英尺的空间覆盖上9个网络容量为802.11b/g的接入端口。
但是Ellen Daley,Forrester Research的首席分析师,在总结了当今无线局域网调度的一致意见后提出:“对于企业中每个网络的主要数据使用权限而言,无线网络只是有线网络的一个附加品,而非替代品。而且这是一个多余的成本。” 相比之下,从无线局域网产品销售商处得到的回收数据还是令人乐观的。例如,北电公司(Nortel,唯一同时提供支持GPRS、CDMA2000和UMTS三种先进技术的无线数据网络供应商。)认为,如果组织安装的是典型的配有802.11a/ b/g的网络,那么一年内可以实现2-3%的生产力进步和无线局域网的投资回报。
没有规矩,不成方圆
不管是勤勉的办公室一族,抑或是来访的承包商,他们并非怀有恶意把自己无线路由器插入到以太网端口。但CIO的责任就是让用户们了解这种做法的后果:这个淘气的接入端口现在正埋伏在防火墙保护的背后,不能被众多的入侵探测系统探测到。如果有人用简易而廉价的手动装置或者激活无线的笔记本轻轻触动电波信号的话,接入端口就可能与信号相联接并能全权使用企业的网络。Daley说:“你必须为你的无线局域网制定安全策略,包括允许使用的时间,使用限制,或着咨询师与合伙人在必要情况下的访客使用权限。”
CIO不能对无线局域网安全策略需要具备的用户教育程度作太高的估计。使用者无须知晓如何分辨介质访问控制(MAC--Media Access Control)地址和服务集合标识符(SSID-- Service Set Identifier),但他们必须明辨是非。比如,他们必须了解因受骗而访问一个错误(具有潜在恶毒目的)且不属于公司的接入端口。Selby说:“用户在这种自由度许可范围内保持对新风险的警觉是非常必要的。”
其次,CIO们一致认为任何新的无线安全策略必须与现有的有线安全策略相吻合。Bryon Fessler 是俄勒冈州波特兰(Portland)大学IT副总裁兼CIO。他认为:“我们在有线环境里所遵循的准则,在无线的进程中也应被遵从。”自去年以来,Fessler在校园的三幢大楼内大规模铺设了50个无线接入端口,并计划在未来至少再铺设25个。他抓住任何机会(面对面交流、电子邮件和其他聚会)来确保4500名学生、全体教员和学校其他成员能理解其无线局域网安全策略背后的动机。比如,为什么学生的手提电脑必须在经过隔离、杀毒检查并授予安全认证后才能连接入无线局域网。
时刻认证
无线网络安全教育结束之后,安全策略实施者就会让加密技术及时跟进——它们弥补了安全教育离席后的空白。
认证是CIO们的第一道防线。简而言之,它能确保要求获得网络传输信号的客户是其本人,并且被允许使用无线网络。
如今,802.1x标准是认证用户的高端技术中的一种。它用于端口认证,这种认证源于有线网络的世界,并由于有线等效加密(WEP-- wired equivalency protocol)的不足而被翻新用于WLAN.基于802.1x的协议叫做EAP(extensible authentication protocol)。它使用经过加密的渠道在设备与网络之间交换信息(用户名和密码)。根据无线网络卖主Aruba,尽管入侵者能够监测在空气中的数据交换,但他无法截获加密通道内的数据信息。由于EAP是用于有线网络的,推行一种统一的网络策略就显得很有吸引力。它的相互认证的能力给了用户更多的保护,从而确保他们看到的网络是合法的,而不是黑客的欺骗性接入端口(欺骗性端口被称为“邪恶双子星”)。
Sunnybrook女子学院医疗科学中心的Tsai使用了受保护的EAP来对公司的无线数据网络访问进行认证。由于Tsai的系统有一个微软工作组提供帮助,这样他就能充分利用支持EAP的Windows XP操作系统调节内置设置。
另一个连接有线与无线世界的认证方案叫做NAC(network admission control)。这个方案由Cisco领衔,是一项基于网络的安全策略。它确保想要登陆无线网的机器是受到信任的,同时免受计算机网络蠕虫、病毒和间谍软件的侵害。在波特兰大学,Fessler用NAC来检测新的设备,进行诊断,然后允许用户进入有线和无线局域网。他的系统还使用了一种Active Directory数据库来验证用户并准许他们进入ERP系统或学生数据库。他还说这运用了信任及检测的思维方式,并且在开放的校园网络环境中得到了很好的运用。在这样的环境中学生们普遍接受着技术自由观念的洗礼。
成功加密
认证与加密是密不可分的。在三月份,当Wi-Fi联盟宣布所有的无线网络产品必须有WPA2(对802.11的最强加密规范)后,这两者都得到了很有必要的发展推进。WPA2代表Wi-Fi Protected Access 2,并且是期待已久的WPA(早期WEP标准的替代物)的继承者。“WPA还存在一些问题,但WPA2很好的弥补了这些缺陷。” 451 集团的Selby说道。
鉴于认证是确保设备与网络间的相互信任,加密是确保链接与数据传输的安全,“因此怀有恶意的人是无法查看数据包的。” Tomcsanyi说道。内部有WPA2的手提电脑和接入端口使用了先进的加密标准来提供较高级的安全。
如果CIO们想深入到无线网络的技术图表和接入端口,他们肯定是办不到的。但是由于日臻成熟的卖主技术,加密计划就显得相当简捷易懂。只要打开WPA2就行了。“这听起来像是个非常复杂的情况,但它并非如此。” Optimus Solutions的McDonald说道。
当然,认证与加密的基本原理需要一个工业级技巧的用户名和攻击者不能轻易猜到的密码,像八个或八个以上的文字,或者字母与汉字的混合。在当今时代,这种概念的贡献应当是不言而喻的。但是就像Daley所说的,“你会惊奇地发现很多公司并没有这么做。”这种说法得到了安全产品制造厂商Kaspersky Labs(卡巴斯基实验室)的支持。他估计70%的无线局域网络没有使用任何以一种数据加密。
识别坏人
过去的几年内,在安全上的一个重大转折便是无线局域网已从防御型转变为主动进攻型。CIO们不应该坐等着去被攻击。新技术能够在坏人进行破坏之前察觉、定位并阻止攻击。Tsai 认为:“在企业环境里能拥有管辖自己网络的工具是非常重要的。”
对那些仍然拒绝无线局域网的CIO们来说,他们最好应当通过检测自己的无线电来确认安全。“在没有安装无线网的环境里安装无线网络传感器是很奇怪的事,” 451 Group的Selby说道,“但是拥有一种搜寻恶意网络的方法是很有必要的。”
Sunnybrook的Tsai已经在多伦多地区的三个独立医院环境(两个在市内,一个在郊区)中扩展了300个接入端口。他使用了一种已经被运用在Symbol的无线局域网产品中的探测扫描技术。他的实践经验证实了密集的城市地区比郊区更危险的想法。“在被办公楼和公寓包围的市区医院地带,存在相当数量的恶意探测,” Tsai说道,“而在郊区我们检测到的这种行为就非常少。”
但是入侵探测系统(IDSs)并不总那么新。事实是该系统综合体上的新防御部件在危险显现之前就把它们去除了。在托兰斯医学纪念中心,Tomcsanyi已经有了一个探测系统,并且将于今年第三季度安装一个新的防御装置。“这是更有效的先发制人的方法。” Tomcsany说。使用从 Aruba那样的卖主得来的新技术后,接入端口既可以用作电波频率连接器又可以用作预防入侵的无线传感器。这样就可以省去安装接入端口和一个独立的入侵探测系统的费用了。(但是,Tomcsanyi说他打算继续使用相互协调的多重安全系统,比方说今年晚些时候要安装的Cisco的新入侵防御系统。)
“任何不监测其无线局域网的人在将来将会遇到麻烦。” Fessler说道。而他本人已经在他的Cisco基本架构中使用了一种来自AirSpace公司(最近被Cisco收购)的探测与防御产品。
隔离通讯
尽管对一些有安全意识的CIO来说这看似可能是一个疯狂的想法,但是许多IT业的经理正在日益对公众开放他们的无线网络。这里的公众是指那些想在办公楼内上网和接收邮件的客户和企业合作人。Tomcsanyi 说在卫生保健领域能对病人和其他访问者提供无线访问是一项很有价值的资产。
据Tomcsanyi 说,托兰斯医学纪念中心 有211个接入端口遍布其医院的五个大楼建筑内。它们能够提供百分之百的无线覆盖。该中心还能对公众提供无线局域网接入服务,因为它能在网络结构中隔离通讯。
依照Cisco公司的说法,无线访客网络既能够提供便捷的访问又能够免除IT工作人员对每个用户认证的需要。访客网络使用了一种开放的安全方法。该方法被隔离在一种特殊的SSID上(每个无线局域网的域名)。此SSID发送讯息到一种网络上,而该网络只能访问大众网。Tomcsanyi把不断提高的病人满意度水平归因于对无线局域网的访问。
尽管无线网络在短时间内有了很大发展,但如今CIO们需要认识到,安全机制已经遇到了大量无线电信号过分公开的混乱。“在过去,为了获得无线的畅通连接,你不得不牺牲一些安全措施和程序,” Fessler说道,“但如今我没有必要再做出那样的牺牲了。
《CIO》Thomas Wailgum文, Nosa 编译
(《IT经理世界》)
